Le secteur de la construction à l’heure de la cybersécurité

La sécurité des systèmes d'information des entreprises est aujourd'hui un sujet stratégique pour tous les secteurs d’activités.

La cybersécurité dans les entreprises du secteur de la construction est une discipline récente, dont l’émergence va de pair avec la digitalisation et la numérisation des outils, l’évolution des processus et des méthodes de travail.

Conscientes d'une menace grandissante, les entreprises du secteur de la construction ont commencé à renforcer leur posture de cybersécurité au travers de multiples leviers (gouvernance, organisation, outils, etc.). Toutefois, les actions engagées sont-elles suffisantes au regard de l'état des menaces actuelles et futures ? Sont-elles à la hauteur des impacts potentiels d'une attaque cyber ? Quelles sont ces mesures et stratégies prises pour appréhender et réduire l'exposition à ces risques en évolution ?

Un risque croissant en matière de cybersécurité

Historiquement peu digitalisé, le secteur est en train de rattraper son retard au travers d’investissements significatifs. Cette transformation digitale et numérique, couplée à l’essor des technologies connectées, transforme les moyens d’accès à l’information et aux données, que ce soit sur et en dehors du chantier, et augmente la surface d’exposition et les vulnérabilités des systèmes d’information (SI) des entreprises du secteur.


Une spécificité des risques cybersécurité dans le secteur

Les entreprises du secteur disposent d’une variété de données pouvant être d’intérêt pour des acteurs malveillants et rencontrent les mêmes risques que toute entreprise (ex: vol, espionnage, sabotage, etc.).

La transformation des méthodes et outils de travail du secteur (BIM, outils de chantier connectés, etc.) font également émerger des risques cyber pouvant impacter directement les activités opérationnelles d'entreprises,notamment en matière de :

  • Productivité : la dépendance croissante aux outils digitaux pourrait, en cas d’indisponibilité, se répercuter sur la bonne conduite des activités des entreprises, notamment sur l’avancement d’un chantier ou leurs capacités à répondre à un appel d'offre.
  • Sécurité : la convergence des risques cyber et physique s’accélère avec la digitalisation et la numérisation des engins de chantiers tels que les grues connectées.

Des enjeux de cybersécurité propres aux chantiers

  • La multiplicité des intervenants ayant des niveaux de sensibilisation différents, et dont le nombre est propice aux tentatives de fraude au fournisseur.
  • Le développement des engins connectés ce qui engendre de nouveaux risques en matière de sécurité des actifs et des personnes.
  • L’interconnexion croissante entre les systèmes d’information (SI) des acteurs d’un chantier (ex : le BIM) créant des vulnérabilités indirectes au sein de l’écosystème.
  • Les personnels digitalisés et délocalisés (directeurs de travaux, comptables, etc.) pouvant être ciblés par des acteurs malveillants.
  • La sensibilité inhérente de certains chantiers ayant des clients spécifiques (Etat, Défense, Opérateurs d’importance vitale-OIV, etc.).

Une prise de conscience du secteur de la construction

La communication autour des cyberattaques dans les médias et les grandes attaques cross-secteur, couplées à la transformation digitale et numérique de leurs activités les rendent plus exposées aux cyberattaques. Un constat qui fait prendre conscience d’une nécessité de se protéger face à la menace cyber pour les dirigeants des entreprises du secteur.


Une menace cyber polymorphe et croissante

Les modalités des cyberattaques sont variées. Elles reposent sur des méthodes et technologies évoluant rapidement grâce à une ingéniosité croissante et sont de deux ordres :

  • la fraude et ingénierie sociale ;
  • les attaques et intrusions informatiques. 

3 principales finalités :

  • le gain financier immédiat ;
  • le vol de données ;
  • le sabotage.

La menace de la divulgation des données

L'identification d'un volume important de données sur le deep web*, est révélatrice des risques encourus. Les données compromises sont également susceptibles d'en engendrer de nouvelles.

Les recherches de Threat Intelligence montrent que, malgré un nombre d’alertes contre le secteur de la construction comparativement faible par rapport aux autres secteurs, les entreprises du secteur restent tout de même ciblées par des acteurs étatiques ainsi que par des activistes radicalisés.

(*) Plus de 15 000 adresses mail et 10 300 mots de passe de collaborateurs, issus de 7 sociétés de construction entre 2016 et 2019 ont été identifiés sur le deep web. 

Comment répondre à ces risques ?


6 principaux leviers pour les entreprises les plus matures

Transversale et portée jusqu’au plus haut niveau de l’entreprise.

Mise en place d’une organisation reflétant la prise de conscience des enjeux cyber et identification de responsables pour la sécurité des systèmes d’information (SI).

Mise en place d’une équipe dédiée et sensibilisation de l’ensemble des collaborateurs selon leur degré d’exposition aux risques cyber.

Anticipation des scenarii d’attaque potentielle et maintien à jour de ses capacités de réponse aux attaques.

Exploitation des outils et services proposés sur le marché pour mener à bien ses activités de cybersécurité.

Mise en perspective de l’approche cybersécurité par rapport aux exigences réglementaires et légales.


Quels challenges pour les entreprises face à la menace ?

La digitalisation des méthodes de travail (ex: BIM, robotique sur chantier) va s’accentuer et accroître la surface d’exposition au risque cyber.

La collaboration et l’interdépendance des systèmes d’information croissantes entre acteurs peuvent devenir sources de vulnérabilités indirectes.

La digitalisation des bâtiments et des infrastructures intégrés dans la ville intelligente induit la nécessité d'une conception native de leur cybersécurité.

Une menace croissante et de plus en plus sophistiquée (IA, Machine learning, Informatique quantique) demande une surveillance, une montée en compétence et une adaptation permanente des entreprises.

Les recommandations de nos experts

  • Faire émerger une culture de la cybersécurité.
  • Sensibiliser tous les collaborateurs et partager les bonnes pratiques d’hygiène informatique.
  • Favoriser la coopération au sein de l’écosystème du secteur.
  • Considérer la cybersécurité nativement, dès la phase de conception (Résilience by design & by default).

Méthodologie

  • Recherches / analyses provenant de différentes sources externes.
  • Analyse d’enquêtes PwC sur la cybersécurité.
  • Enquête qualitative auprès de 23 représentants de grands groupes (leaders sur le secteur en France) et d’acteurs de l’écosystème cyber.
  • Enquête quantitative sur le deepweb.
Suivez-nous !

Contactez-nous

Jean-Romain Bardoz

Jean-Romain Bardoz

Associé, PwC France

Tel : +33 1 56 57 76 98

Philippe Trouchaud

Philippe Trouchaud

Associé Consulting - Cybersécurité, PwC France et Maghreb

Tel : +33 1 56 57 82 48

Masquer